VMware Identity Manager は SAML 2.0 認証子を使用して、セキュリティドメイン全体で Web ベースの認証と承 認を実現します。Horizon 7 が VMware Identity Manager に認証を委任するようにする場合は、Horizon 7 を構成 して、VMware Identity Manager からの SAML 2.0 認証セッションを受け入れるようにすることができます。
VMware Identity Manager が Horizon 7 をサポートするように構成されている場合、VMware Identity Manager ユーザーは、Horizon ユーザーポータルのデスクトップアイコンを選択してリモートデスクトップに接続すること ができます。
Horizon 7 のインストール
Horizon Administrator では、SAML 2.0 認証システムを View 接続サーバインスタンスで使用するように構成でき ます。
Horizon Administrator に SAML 2.0 認証システムを追加する前に、SAML 2.0 認証システムが CA によって署名さ れた証明書を使用していることを確認します。
その他のガイドライン
認証局 (CA) によって署名された TLS 証明書の要求と使用に関する一般的な情報については、認証局 (CA) によって署
名された TLS 証明書を使用する利点を参照してください。
クライアントエンドポイントが接続サーバインスタンスまたはセキュリティサーバに接続すると、サーバの TLS サ ーバ証明書と信頼チェーン内の任意の中間証明書が提示されます。サーバ証明書を信頼するには、クライアントシス テムに、CA が署名したルート証明書がインストールされている必要があります。
接続サーバが vCenter Server および View Composer と通信するとき、接続サーバには、TLS サーバ証明書とこれ らのサーバからの中間証明書が提示されます。vCenter Server と View Composer Server を信頼するには、接続サ ーバコンピュータに、CA が署名したルート証明書がインストールされている必要があります。
同様に、接続サーバ用に SAML 2.0 認証システムが構成されている場合は、接続サーバコンピュータに、SAML 2.0 サーバ証明書用の CA が署名したルート証明書がインストールされている必要があります。
TLS 証明書をセットアップするためのタスクの概要
Horizon 7 サーバに対して TLS サーバ証明書を設定するには、高度な複数のタスクを実行する必要があります。
複製された接続サーバインスタンスのポッドでは、ポッド内のすべてのインスタンスに対してこれらのタスクを実行 する必要があります。
これらのタスクを実行する手順は、この概要の後のトピックで説明します。
1 認証局 (CA) から新しい署名付き TLS 証明書を取得する必要があるかどうかを判断します。
組織がすでに有効な TLS サーバ証明書を所有している場合、接続サーバ、セキュリティサーバ、View Composer で提供されるデフォルトの TLS サーバ証明書をその証明書に置き換えることができます。既存の証明書を使用 するには、それに対応するプライベートキーも必要です。
現在の状況 アクション
有効な TLS サーバ証明書が組織から提供されている。 直接、手順 2 に進みます。
TLS サーバ証明書がない。 認証局 (CA) から署名された TLS サーバ証明書を入手します。
2 Horizon 7 サーバホスト上の Windows ローカルコンピュータの証明書ストアに TLS 証明書をインポートしま す。
3 接続サーバインスタンスとセキュリティサーバの場合は、証明書のフレンドリ名を vdm に変更します。
フレンドリ名 vdm を、各 Horizon 7 サーバホストの 1 つの証明書のみに割り当てます。
4 接続サーバコンピュータ上で、ルート証明書が Windows Server ホストに信頼されていない場合は、ルート証
明書を Windows ローカルコンピュータの証明書ストアにインポートします。
さらに、接続サーバインスタンスがセキュリティサーバ、View Composer、vCenter Server ホスト用に構成
された TLS サーバ証明書のルート証明書を信頼していない場合にも、これらのルート証明書をインポートする必
要があります。これらの手順は、接続サーバインスタンスでのみ実行します。View Composer、vCenter
Server、またはセキュリティサーバホストにルート証明書をインポートする必要はありません。
5 サーバ証明書が中間 CA によって署名されている場合は、中間証明書を Windows ローカルコンピュータの証明 書ストアにインポートします。
クライアント構成を簡素化するには、証明書チェーン全体を Windows ローカルコンピュータの証明書ストアに インポートします。中間証明書が Horizon 7 サーバから欠落している場合、クライアントおよび Horizon
Administrator を起動するコンピュータ用に中間証明書を構成する必要があります。
6 View Composer インスタンスの場合は、次の手順の 1 つを実行します。
n View Composer をインストールする前に、Windows ローカルコンピュータの証明書ストアに証明書をイ
ンポートした場合は、View Composer のインストール中にこの証明書を選択できます。
n View Composer のインストール後に、既存の証明書またはデフォルトの自己署名証明書を新しい証明書と
置換する場合は、SviConfig ReplaceCertificate ユーティリティを使用して、新しい証明書を View
Composer が使用するポートにバインドします。
7 CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。
さらに、Horizon Administrator を起動するコンピュータがルート証明書および中間証明書を信頼するようにし
ます。
8 証明書失効チェックを再構成するかどうかを決定します。
接続サーバは、Horizon 7 サーバ、View Composer、および vCenter Server 上で証明書失効チェックを実行 します。CA によって署名された大部分の証明書には、証明書失効情報が含まれています。CA にこの情報が含ま れていない場合は、証明書失効チェックを実行しないようにサーバを構成できます。
SAML 認証システムが接続サーバインスタンスで使用されるように構成されている場合は、接続サーバは SAML
サーバ証明書上でも証明書失効チェックを実行します。
認証局 (CA) からの署名付き TLS 証明書の取得
所属する組織から TLS サーバ証明書が提供されていない場合は、認証局 (CA) によって署名された新しい証明書を要 求する必要があります。
いくつかの方法を使用して、新しい署名付き証明書を取得できます。たとえば、Microsoft certreq ユーティリティ を使用して、証明書署名要求 (CSR) を生成し、CA に証明書要求を送信できます。
certreq でこの操作を行う方法については、『Horizon 7 の TLS 証明書設定のシナリオ』ドキュメントを参照してく ださい。
Horizon 7 のインストール
テスト用として、信頼されていないルートによる一時的な証明書を多数の CA から無償で入手できます。
重要: 認証局 (CA) から署名入り TLS 証明書を取得するとき、特定のルールと指針に従う必要があります。
n コンピュータ上で証明書要求を作成するときは、必ずプライベートキーも作成するようにします。TLS サーバ証 明書を取得し、それを Windows ローカルコンピュータの証明書ストアにインポートするときは、証明書に対応 するプライベートキーが必要です。
n VMware セキュリティ推奨事項に準拠するために、クライアントデバイスがホストへの接続に使用する完全修
飾ドメイン名(FQDN)を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは 使用しないでください。
n Windows Server 2008 enterprise CA 以降のみと互換性のある証明書テンプレートを使用して、サーバの証明 書を作成しないでください。
n 1024 未満の KeyLength 値を使用して、サーバ用の証明書を作成しないでください。クライアントエンドポイ
ントは、1024 未満の KeyLength 値を使用して作成されたサーバ用の証明書を検証せず、クライアントはサー
バとの接続に失敗します。接続サーバによって実行される証明書検証も失敗し、影響を受けるサーバが Horizon Administrator のダッシュボードで赤色に表示されます。
証明書取得に関する一般的な情報については、MMC への証明書スナップインにある Microsoft オンラインヘルプを 参照してください。証明書スナップインがコンピュータにインストールされていない場合は、証明書スナップインを MMC に追加するを参照してください。
Windows ドメインまたは Enterprise CA から署名証明書を取得する
Windows ドメインまたは Enterprise CA から署名証明書を取得するには、Windows 証明書ストアの Windows Certificate Enrollment ウィザードを使用できます。
この証明書要求の方法は、コンピュータ間の通信が内部ドメイン内に限られる場合に適しています。たとえば、
Windows ドメイン CA からの署名証明書の取得は、サーバ間通信に適しています。
クライアントが外部ネットワークから Horizon 7 サーバに接続する場合、信頼できるサードバーティ認証局 (CA) に より署名された TLS サーバ証明書を要求します。
前提条件
n クライアントデバイスがホストへの接続に使用する完全修飾ドメイン名 (FQDN) を決定します。
VMware のセキュリティ推奨事項に準拠するために FQDN を使用し、内部ドメインの範囲内であってもシンプ
ルなサーバ名または IP アドレスは使用しません。
n 証明書のスナップインが MMC に追加されたことを確認します。証明書スナップインを MMC に追加するを参 照してください。
n コンピュータまたはサービスに発行できる証明書を要求する適切な認証情報があることを確認します。
手順
1 Windows Server ホストの [MMC] ウィンドウで、[証明書(ローカルコンピュータ)] ノードを展開して [個人] フォルダを選択します。